Google は、すでに実際の攻撃で悪用されているゼロデイ脆弱性に対処するため、予定外の Chrome アップデートを公開しました。この修正は、Windows と macOS 向けの安定版ビルド 143.0.7499.110、および Linux 向けの 143.0.7499.109 に含まれています。
同社は、この欠陥(社内では識別子 466192044 の下で追跡)が、実際の環境で悪用されていることを確認しており、それを受けてロールアウトを加速しました。それにもかかわらず、ユーザーおよび管理者は自動配信を待つのではなく、手動でアップデートをインストールすることが強く推奨されています。
この脆弱性は高深刻度と評価されています。Google は、影響を受けるコンポーネントや悪用手法に関する詳細を公開しておらず、パートナーとの調整が完了するまで情報は制限されたままとなります。このような秘匿は標準的な運用であり、他の脅威アクターがバグを再現して独自の攻撃を作成することを防ぐことを目的としています。もし問題が、他のプロジェクトでも利用されている外部ライブラリに関係し、まだそちらがパッチ適用されていない場合、技術的な説明へのアクセスは通常より長く制限される可能性があります。
このゼロデイの解消に加え、今回のアップデートでは外部研究者によって報告された中程度の深刻度の問題 2 件にも対処しています。1 つ目の CVE-2025-14372 は、Chrome のパスワードマネージャーにおける Use-after-free の欠陥であり、メモリ破壊や任意コード実行を引き起こす可能性があります。2 つ目の CVE-2025-14373 は、ブラウザのツールバーにおける実装上のエラーに起因するものです。各研究者には、それぞれの発見に対して 2,000 ドルの報奨金が支払われました。
手動でアップデートをインストールするには、Chrome のメニューを開き、「ヘルプ」を選択してから「Google Chrome について」をクリックします。利用可能なバージョンの確認後、ブラウザは自動的にアップデートをダウンロードし、インストール完了のために再起動を促します。
